WeTransfer dans la tourmente : vos fichiers peuvent-ils vraiment être utilisés pour entraîner une IA ?

En juillet 2025, la plateforme de transfert de fichiers WeTransfer, prisée par des millions de créatifs, journalistes et professionnels, a discrètement mis à jour ses conditions générales d’utilisation. Une nouvelle clause a suscité une vive polémique : elle accordait à l’entreprise une licence étendue pour exploiter les fichiers transférés – incluant la possibilité de les modifier, reproduire, distribuer… voire les utiliser à des fins d’entraînement d’intelligence artificielle.

Face à une levée de boucliers sur Reddit, LinkedIn et dans les cercles créatifs, la société a fait machine arrière. Mais l’affaire soulève des questions cruciales : que devient réellement ce que vous transférez ? Et à quel prix pour votre confidentialité ?

Une licence qui va (très) loin

La version de juillet 2025 des CGU de WeTransfer stipulait que les utilisateurs concédaient une licence perpétuelle, mondiale, gratuite, transférable et sous-licenciable à l’entreprise sur tous les fichiers envoyés via la plateforme.

Dans le détail, cette licence permettait à WeTransfer de :

reproduire vos fichiers,
créer des œuvres dérivées,
les modifier,
les distribuer,
les afficher publiquement,
et même… les utiliser pour former ses propres modèles d’intelligence artificielle.

Autrement dit, vos projets de design, vos photos confidentielles, vos productions vidéos ou fichiers journalistiques pouvaient servir d’alimentation à une IA maison, sans votre consentement explicite… ni compensation.

« C’est totalement fou. On transfère nos rushs à nos clients, et là on apprend que WeTransfer peut les réutiliser comme bon lui semble ? » — témoignage d’un monteur freelance sur Reddit

Le retour de bâton : colère, buzz, et retrait partiel

La clause n’est pas passée inaperçue. Sur les réseaux sociaux, les réactions ont été instantanées et virulentes :

Reddit a vu fleurir des topics avec des titres comme “WeTransfer just gave itself full rights to your files” ou “Alerte, ils veulent nourrir leur IA avec nos projets”.
LinkedIn a vu des appels au boycott, notamment du côté des créateurs de contenu et photographes professionnels.
Plusieurs juristes ont également pointé une potentielle incompatibilité avec le RGPD.

Résultat : à peine une semaine plus tard, WeTransfer a publié une mise à jour. La société y assure ne pas utiliser les fichiers des utilisateurs pour entraîner d’intelligence artificielle ni les monétiser auprès de tiers.

Mais — et c’est un point crucial — la licence d’utilisation étendue n’a pas été totalement retirée. Elle demeure, même sans l’usage de l’IA.

Action	Description
Lire les CGU	Avant chaque envoi, surtout pour les plateformes freemium.
Ne pas utiliser WeTransfer pour des fichiers sensibles	Données clients, fichiers juridiques, créations inédites : passez votre tour.
Préférer un chiffrement en amont	Crypter localement vos fichiers (ex : avec VeraCrypt, 7-Zip AES).
Opter pour des alternatives plus transparentes	Par exemple : SwissTransfer (serveurs suisses), SpiderOak, Tresorit (protection juridique forte, pas de clause d’usage commercial). Le service Bluefiles est une alternative parfaite. (protection juridique forte, Français).
Suivre les mises à jour légales	Les CGU changent vite et souvent. Mieux vaut les suivre comme on suit une météo instable.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Sécurité : chiffrée, mais pas invisible

Sur le plan de la sécurité technique, WeTransfer communique volontiers sur sa conformité avec le RGPD et sur l’utilisation de mesures solides :

Chiffrement TLS et AES-256 pour les transferts.
Suppression automatique des fichiers après 48h ou selon durée choisie (jusqu’à 1 an si compte Pro).
Serveurs conformes aux clauses contractuelles types de l’UE pour les transferts hors EEE.
Audits et accès restreints au personnel autorisé.

Sur le papier, c’est rassurant. Mais une question subsiste : à quoi bon crypter si, contractuellement, l’entreprise se réserve le droit de consulter, modifier ou dupliquer le contenu ?

Autrement dit : la sécurité technique ne compense pas une politique de droits d’usage agressive.

Ce que dit le droit (et ce qu’il ne dit pas)

WeTransfer s’appuie sur un principe juridico-commercial courant dans le numérique : l’octroi de licence large pour assurer le bon fonctionnement du service. En clair, permettre à un serveur de copier temporairement un fichier, c’est techniquement une « reproduction ».

Mais là où beaucoup d’acteurs s’arrêtent à une licence limitée à l’exploitation nécessaire du service, WeTransfer avait franchi la ligne avec :

la possibilité de créer des œuvres dérivées,
l’autorisation de sous-licencier à des tiers,
l’usage dans des “produits, services ou technologies futurs”, ce qui inclut… l’IA.

Même après la suppression de la mention IA, ces points restent valides.

Un cas d’école sur le consentement numérique

L’affaire WeTransfer montre à quel point le texte des conditions générales n’est jamais anodin. Derrière un service pratique et populaire peut se cacher une stratégie d’exploitation des données, souvent camouflée dans des formulations juridiques d’apparence banale.

Cette tentative de licence “gloutonne” — et son retrait partiel sous pression — illustre :

le déséquilibre informationnel entre plateformes et utilisateurs ;
la fragilité de notre consentement numérique ;
l’importance d’une veille active sur les pratiques contractuelles, surtout pour les pros de la création, du journalisme et de la cybersécurité.

WeTransfer reste un outil rapide, intuitif, et pratique pour échanger de gros fichiers. Mais sa politique d’utilisation soulève des interrogations profondes sur la monétisation des données, le respect de la vie privée, et l’évolution des rapports de force entre utilisateur et plateforme.

En 2025, le cloud ne vaut pas que par sa vitesse de transfert. Il vaut aussi par ce qu’il nous fait perdre — ou garder — de nos droits fondamentaux sur nos propres données.

Rejoignez-nous sur les réseaux sociaux

Aucun spam – Désinscription en un clic – Vie privée respectée

Étiquetté :ai wetransfer wetransfer cgu

Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.